Le représentant du parquet général a requis, mardi soir, douze mois de prison avec sursis, de 3.000 € à 5.000 € d'amende, liberté d'épreuve pendant cinq ans et obligation d'indemniser les victimes, à l'encontre du pirate informatique du CHPG.
Ce hacker de 32 ans était poursuivi pour avoir, au cours du premier semestre 2016, lancé deux attaques à l'aide de logiciels malveillants afin de contaminer les 648 postes du système. Il avait également diffusé notamment aux élus du Conseil national, à des journalistes et à des inspecteurs du fisc français, par le biais de la messagerie du chef de service, un fichier des ressources humaines avec les données confidentielles et administratives du personnel hospitalier. Dont les salaires.
À l'époque, l'affaire avait fait grand bruit sur le territoire monégasque.
"Syndrome du burn-out"
Devant le tribunal correctionnel, à la demande du président Jérôme Fougeras-Lavergnolle, le prévenu a reconnu les faits. Il explique son comportement en réaction à un sentiment d'injustice et un désir de vengeance. Il raconte aussi son état dépressif et son lot quotidien de médicaments qu'il continue d'avaler aujourd'hui encore.
"On m'a reproché, après plusieurs années d'efforts, mon manque d'intégration. Les relations se sont dégradées quand j'ai su que je n'allais pas être titularisé ! J'ai ressenti une forme de syndrome du burn-out, accompagné de troubles de l'esprit et d'anxiété. Après quatre ans de bons services, ça ne pouvait pas finir ainsi. J'ai réagi avec un logiciel malware afin que ma première attaque soit postérieure à mon départ afin de brouiller les pistes. Je ne voulais pas altérer les données, mais rendre le service informatique responsable du dysfonctionnement."
Le magistrat s'étonne d'une telle maîtrise de la programmation informatique pour une personne sans grande compétence dans ce domaine. "Comment êtes-vous parvenu à concevoir un tel piratage?" La réponse est franche et déroutante: "J'ai pu le mettre en place grâce à une formation initiée par le CHPG."
Le prévenu décrit alors la seconde attaque: "Elle consistait à transmettre des fichiers récupérés auprès des ressources humaines avec des données personnelles et l'aide d'un procédé pour décrypter les mots de passe stockés sur le serveur de l'hôpital."
"Une faille de sécurité"
Le président évoque alors le trouble apporté en Principauté. "Je savais, assure le hacker présumé, qu'il allait y avoir des répercussions négatives et beaucoup de bruit. C'est un acte stupide. J'ai été pris d'angoisse et de remords…"
Le magistrat stigmatise les répercussions: "Le lendemain, il y a eu une grève au centre hospitalier. Comment êtes-vous parvenu à tout faire sans être remarqué?"
"Avec un ordinateur portable à partir d'un cybercafé à Nice, un serveur situé à l'étranger pour atteindre la messagerie du CHPG et une machine virtuelle pour masquer mon adresse mail. Il fallait éviter que l'on remonte jusqu'à moi."
Un expert en informatique viendra expliquer le protocole mis en place pour conserver l'anonymat des connexions où se bousculent adresses IP, adresses Mac, Dark Web et autres liens ou liaisons complexes en tout genre.
Et de conclure: "Ces attaques ont été possibles parce que le système n'était pas mis à jour. Le hacker a pu exploiter une faille de sécurité. S'il s'était débarrassé de tous les fichiers, on n'aurait jamais pu remonter jusqu'à lui."
"Volonté de nuire"
Les parties civiles exposeront leurs doléances et leurs avocats, Mes Alexis et Olivier Marquet, Alice Pastor et Joëlle Pastor-Bensa, réclameront respectivement les sommes de 2.696 € pour le CHPG (en référence au nombre de salariés) ; l'euro symbolique pour le syndicat hospitalier ; 5.000 € pour un cadre soupçonné à tort ; 100.000 € pour la chef du service informatique (calculé d'après son manque à gagner à la suite de son départ à la retraite anticipée à cause de l'affaire).
Le procureur général adjoint Hervé Poinot brossera un tableau de présentation des chiffres de la cybercriminalité avant d'évoquer l'ingratitude du prévenu : "Sa volonté de nuire est mûrie ! Sa mauvaise foi, car il nie sa responsabilité à deux reprises avec un sentiment de toute puissance et de sécurité… Ne faisons pas le procès du CHPG ou des victimes en accumulant les failles. Une décision mesurée ne doit pas correspondre à une ligne de gloire sur le CV du hacker."
Enfin, Me Sophie Lavagna mettra toute sa conviction à défendre son client.
"S'il avait voulu nuire, il aurait révélé la situation des patients. Les noms, dates de naissance, revenus, cursus qu'il a donnés en pâture sur le web sont des secrets de polichinelle. Aujourd'hui licencié du CHPG, mon client n'a pas droit aux Assedic. Il a des circonstances largement atténuantes. Allégez sa peine assortie du sursis…"
Après plus de quatre heures de débats, le tribunal a mis l'affaire en délibéré et il rendra sa décision le 6 juin prochain.
commentaires